Bir ssh sertifikası nasıl iptal edilir (ssh kimlik dosyası değil!)

Şunun gibi bir ssh sertifikası oluşturdum:

1. ssh-keygen -f ca_key # sertifika olarak kullanmak için ssh anahtar çifti oluşturma
2. bir ana bilgisayar anahtarı oluştur ssh-keygen -s ca_key -I cert_identifier -h host_key.pub
3. sunucunun sshd yapılandırma dosyasında ana bilgisayar anahtarını belirtin: TrustedUserCAKeys /etc/ssh/ssh_cert/host_key.pub
4. SSH sertifika kullanarak sisteme erişmek için yerel bir sertifika oluşturmak: ssh-keygen -s ca_key -I cert_identifier user_key.pub. Bu user_key-cert.pub oluşturmalıdır

Şimdi ssh -i user_key user@host(user_key-cert.pub kullanan) kullanarak sunucuya giriş yapabilirsiniz . TrustedUserCAKeys dosyasını devre dışı bırakmak dışında sertifikayı nasıl iptal edebilirim?

sshd_config bir RevokedKeys dosyasına sahiptir. İçinde her satıra bir tane olacak şekilde birden fazla anahtar veya sertifika listeleyebilirsiniz. Gelecekte, OpenSSH, sertifika seri numarasına göre iptal işlemini destekleyecek ve bu da çok daha küçük iptal listeleri için yapılacaktır.

Bunlar ilginizi çekebilir:

CARevocationFile /path/to/bundle.crl Bu dosya, birleştirilmiş PEM biçimindeki sertifika imzalayanların birden çok "Sertifika İptal Listesi" (CRL) içerir.

CARevocationPath / path / to / CRLs / Sertifika imzalayanların "Sertifika İptal Listesi" (CRL) ile "Hash dir". Her CRL [HASH] .r [NUMBER] adında ayrı bir dosyada saklanmalıdır; burada [HASH] CRL karma değeri ve [NUMBER] sıfırdan başlayan bir tamsayıdır. Karma şu komuttan kaynaklanır: $ openssl crl -in crl_file_name -noout -hash

(ilk 3 Google "ssh ca revoke" araması yapar ...)